Cómo liderar durante una violación de datos

En 2007, escribí un estudio de caso para Harvard Business Review, “ Jefe, creo que alguien ha robado los datos de nuestros clientes.» Ahora, seis años después, se ha producido un hecho real que es inquietantemente similar a ese escenario ficticio: se violó la seguridad del sistema de punto de venta de un minorista de confianza y una gran cantidad de datos de clientes podrían verse comprometidos.

En la situación actual, el minorista es mucho mayor, al igual que el número de cuentas afectadas. El New York Times denunció que hasta 40 millones de clientes podrían verse afectados por la violación de datos en Target. Esto lo convierte en el tercero más grande de la historia. Se informa que la infracción comenzó justo antes del Día de Acción de Gracias y continuó hasta el 15 de diciembre, justo en plena temporada de ventas más importante del año. Divulgación completa: Los ejecutivos de Target han asistido al programa de formación ejecutiva en el que soy director de investigación. Trabajé con Visa en la cumbre de seguridad de datos de 2007. También tengo una carta que puede haber estado comprometida.

La investigación de las fuerzas del orden determinará quién tiene la culpa. Sin embargo, los ejecutivos de cualquier empresa pueden aprender valiosas lecciones de liderazgo en situaciones de crisis:

Un concepto fundamental que compartimos con los participantes en el Iniciativa nacional de liderazgo en preparación (NPLI) en Harvard es que cada crisis incluye muchas situaciones, cada uno con diferentes contingencias y consideraciones. En este caso, incluyen la seguridad, el derecho, la aplicación de la ley, las relaciones con los clientes, los medios de comunicación, el accionista, el empleado, la junta, los emisores y proveedores de tarjetas, la regulación y más. Si bien puede haber superposiciones, cada una de estas situaciones tiene un conjunto distinto (y a veces conflictivo) de partes interesadas, estructuras de poder, prioridades, perspectivas, intereses, requisitos y valores. Por ejemplo, es posible que las comunicaciones quieran ser abiertas y transparentes de inmediato, mientras que el Departamento Legal quiera esperar para evaluar con más detalle la exposición de responsabilidad que podría crear esa postura. Cada uno de ellos tiene un caso legítimo. Navegar por esta compleja red de relaciones interdependientes es abrumador en tiempos rutinarios. En una crisis de esta magnitud, la presión añadida y las apuestas más altas pueden hacer que sea abrumadora. ¿Cómo puede un ejecutivo superar con éxito un pantano tan complejo?

El primer paso es garantizar la certeza sobre los valores que impulsarán la toma de decisiones. En este caso, la confianza debería ser el «verdadero norte» de Target en sus relaciones con sus numerosas partes interesadas. La infracción en sí misma y el hecho de que la fuente de la divulgación fuera un bloguero, no la empresa, afectaron a la supuesta confiabilidad de Target. Los ejecutivos de la empresa deberían recordar la lección clave de la famosa respuesta de Johnson & Johnson a la Susto de Tylenol en 1982: El CEO James Burke se dio cuenta de que el objetivo más importante era recuperar la confianza de los clientes y otras partes interesadas fundamentales, y tomó medidas enérgicas para hacerlo. Si hay un golpe financiero a corto plazo, aclárguelo y siga adelante. Los valores claramente compartidos entre los líderes de la empresa pueden ayudar a prevenir o resolver conflictos a medida que se sopesan las opciones y los objetivos operativos.

El segundo paso es mapear la constelación de situaciones y sus partes interesadas. Esto se puede hacer en una pizarra blanca o en una hoja de papel. No requiere muchos detalles; el propósito es fijar en su mente la conciencia de que se enfrenta a un problema complejo y dinámico. El ángulo que pasa por alto en la crisis puede ser el que cause el mayor daño al final. Recuerde siempre que el hecho original —en este caso, la violación de datos— es una crisis, pero la respuesta puede provocar una serie de crisis secundarias si no se gestiona bien. (Recuerde a Katrina.) Esto es particularmente cierto en las crisis en las que los medios de comunicación se interesan. Las historias de los medios de comunicación ayudarán a moldear las percepciones de muchas partes interesadas y esto, a su vez, marcará las actitudes e interacciones en el futuro. Muchos de estos factores están fuera de su control, pero rara vez están fuera de su ámbito de influencia.

Con ese mapa de situación dibujado, busque brechas en su respuesta a la crisis: algo que no esté planificado o que sea necesario cubrir en el fragor de la acción. Después de todo, ningún plan de acción lo hace todo bien. Es fundamental darse cuenta de los puntos débiles o vacíos de sus esfuerzos y tomar medidas atenuantes. Averigüe quién tiene algo que regalar para cerrar una brecha, desde los activos tangibles hasta el apoyo moral y reputacional, y quién necesita conseguir algo para hacer lo mismo. Jugar a un casamentero de solución de problemas entre «da» y «recibe» le ayuda a aprovechar y optimizar los recursos para hacer frente a las numerosas situaciones de crisis.

La crisis evolucionará con el tiempo y también lo hará su percepción de la misma. Es probable que Target haya tomado medidas y tuviera un plan de divulgación antes de las revelaciones de ayer en los medios de comunicación. Sin embargo, la publicación de un influyente bloguero de seguridad seguida de la atención de los medios nacionales e internacionales lo cambió todo. El desafío para los líderes de la empresa consistía entonces en reorientar la respuesta a un ritmo cada vez mayor con una dinámica alterada; el control de los mensajes pasó de la empresa a los medios de comunicación. Al adoptar los patrones de esta nueva realidad, un líder debe anticipar lo que probablemente suceda después. Solo entonces podrá tomar las medidas correctas. Se trata de un ciclo continuo de pensamiento adaptativo (percibir, orientar y predecir) y actuar (decidir, operacionalizar y comunicar).

La última lección de este incidente es «nunca diga nunca». Target es una empresa que se toma en serio la seguridad y la confianza de los clientes. El sector de las tarjetas de pago tiene un conjunto riguroso de normas, procedimientos y protocolos, y sanciones en caso de incumplimiento, que se utilizan prácticamente en todos los principales comercios de los Estados Unidos. Sin embargo, se siguen produciendo infracciones. Los Estados Unidos son un objetivo particularmente rico porque nuestras tarjetas de crédito y débito se validan con bandas magnéticas y no con chips; es una tecnología antigua, aunque cuando se combina con las nuevas tecnologías de control del fraude, ha mantenido a raya el fraude real. Pero estas tarjetas son más fáciles de duplicar para los delincuentes que las tarjetas con chip, lo que las convierte en un objetivo más tentador.

Es probable que su empresa o sector tenga las vulnerabilidades correspondientes. En un mundo cada vez más complejo y turbulento, cualquier día podría ser en el que su carrera o incluso su empresa dependan de su habilidad para superar una crisis. ¿Está preparado?